OWASP WordPress セキュリティ実装ガイドライン
OWASP Nagoyaにて2018年に以下OWASPドキュメントを活用して『WordPressの脆弱性スキャン/脆弱性対策実装』のハンズオンを実施した際の各種Slideshareとなります。
OWASPドキュメントは OWASP WordPress Security Implementation Guideline です。
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
特にApache、MySQLなどのミドルウェア関連の脆弱性対策の翻訳に苦労しました。例としまして、データベースrawデバイス暗号化については、詳しい方、是非、補足をいただけましたら幸いです。アプリケーション側のWordPressについては、一般的なセキュリティ対策を確実に行うという意味で有意義なコンテンツ内容となっております。WordPressに限らず、LAMPでアプリケーション運用されている方であれば、基本的なセキュリティ方針のヒントは得られると思います。
翻訳とハンズオンの実施を経て、何よりも痛感したことは、OSからアプリケーションまで更新を永続できるシステム設計が最も正義であるということです。そして、専門知識の分野が異なる他業界の方(開発の発注主の方々だと思ってください)から、OSとアプリケーションの更新を継続するコストへの理解をいただくことは非常に難しい!現実とのジレンマです。
この資料のハンズオン環境を再現されます場合、必ず、ローカル環境でクローズドな状態で実施してください。他人の本番サイト、その他パブリックな状態のWordPressに対し、サイト運営主やサーバーインフラ提供者との「事前打ち合わせ」や「許可」無くWPScanなどを勝手に行うことは絶対に避けます様、ご留意ください。
主にOWASP WordPress Security Implementation Guidelineの翻訳
以下、VirtualBoxで仮想環境を作成し、WPscanを使ったWordPress脆弱性調査、そして脆弱性対策の実装までハンズオンの資料です。WP4.7.1でRest APIの脆弱性を狙ったインジェクション攻撃による改ざんが頻発した時期と同じWPバージョンで環境構築しています。ホストOSについては、Windows10でもMacでも、どちらでも可能です。